L’étude a également révélé que pratiquement la moitié (47%) des clients se joindraient probablement à un recours collectif contre une organisation qui avait divulgué leurs informations, prouvant les craintes des responsables de la sécurité pour être précis.
En action, 91% des responsables de la sécurité s’appuient sur une couverture de cyberassurance pour se protéger d’une exposition monétaire directe en sécurisant de nouvelles polices ou en augmentant leur couverture grâce aux données générales Politique de protection (GDPR).
L’étude, menée individuellement par OnePoll pour le compte d’Egress, s’est entretenue avec 250 responsables de la sécurité et DPO au Royaume-Uni et 2000 clients au Royaume-Uni.
Les informations essentielles tirées de cette enquête sont les suivantes:
- 90% des responsables de la sécurité s’inquiètent du recours collectif des personnes concernées en cas de violation grave des données, alors que 85% sont concernés sur les amendes réglementaires
- Près de la moitié (47%) des clients britanniques déclarent qu’ils s’engageraient avec un recours collectif contre une organisation qui t avaient en fait divulgué leurs informations – 91% des responsables de la sécurité ont déclaré avoir obtenu une cyber-assurance ou mis à niveau leur police à la suite du RGPD
- 67% des clients britanniques savent qu’ils méritent d’intenter une action en justice contre une organisation qui subit une violation qui expose ses informations individuelles
« Les dépenses monétaires d’une violation d’informations ont constamment alimenté la conversation autour du RGPD – et au début, on pensait que de lourdes amendes réglementaires feraient l’affaire le plus de dégâts. Les répercussions généralement imprévues des recours collectifs et des litiges indépendants contrôlent désormais la conversation « , commente le PDG d’Egress, Tony Pepper . » Les organisations peuvent contester l’intention de l’ICO d’infliger une amende pour minimiser le prix, et ce, en 2015 , l’ICO a fait preuve de clémence envers les entreprises touchées par la pandémie, telles que British Airways , en les libérant avec des amendes considérablement réduites qui ont en fait été considérées par beaucoup comme une simple gifle. Avec des sujets de données extrêmement conscients de leurs droits et des réclamations susceptibles de devenir un « opt-out » pour les personnes concernées à l’avenir, les responsables de la sécurité ont raison de s’inquiéter des effets financiers des litiges. «
Lisa Forte , partenaire de Red Goat Cyber Security LLP , a ajouté: « La meilleure menace monétaire après la violation ne dépend plus des amendes réglementaires qui pourraient être libérées. Les costumes sont maintenant répandus et pourraient équivaloir à l’écriture d’un chèque en blanc si vos informations sont compromises. Les nations européennes n’ont généralement pas souscrit à une manière contentieuse de réglementer le comportement des entreprises. Cela est en train de changer et sans intervention spécifique du gouvernement, les entreprises devront accepter qu’elles aient besoin de poches beaucoup plus profondes pour couvrir la ruée vers l’or que nous commençons à voir. «
» L’actuel Google L’affaire qui siège actuellement à la Cour suprême du Royaume-Uni pourrait faire des réclamations de groupe «opt-out» plutôt que «opt-in» », poursuit Lisa.« Cela signifiera inévitablement que chaque client concerné participerait à l’action de groupe. Cela devrait être une préoccupation majeure pour les entreprises, qui doivent en fait donner la priorité aux étapes préventives à la fois techniques et humaines et avoir une stratégie d’incident testée sur place. «
Eric Bedell , Chief Personal Privacy L’agent, Franklin Templeton , déclare: « Lorsqu’il a été appliqué en 2018, le RGPD a donné le ton sur la façon dont l’utilisation des informations individuelles doit être contrôlée. Lorsque les amendes réglementaires ont effectivement fait la une des journaux (et sont fréquemment utilisées comme déclencheur pour l’application du RGPD), il y a un élément moins connu: le droit d’intenter une action en justice contre une organisation, pas seulement pour des violations d’informations, mais aussi pour effacer les données personnelles, pour corriger, pour répondre aux demandes d’accès à l’information (DSAR) ou pour fournir des informations portables. «
Eric poursuit » Si aux États-Unis, sous CCPA, nous avons vu de nombreuses actions, en Europe, ce n’est pas (encore) largement utilisé. Je prévois que cela augmentera à mesure que ce droit d’intenter une action en justice finira par être plus populaire – en particulier en sachant que l’ICO publie une page Web pour fournir des conseils sur les sujets de données prenant de telles mesures. En tant qu’entreprise, c’est un danger auquel vous voulez penser, peut-être plus que des amendes réglementaires, à mon avis. «
Edina Csics , GDPR & Data Defense Specialist chez GIS-Consulting BVBA , commente « Bien que la cyberassurance puisse couvrir les dommages financiers causés par une violation d’informations, elle n’aidera pas à récupérer les dommages causés à la réputation. J’espère que les 91% des personnes interrogées qui ont réellement modifié leurs politiques de cyber-assurance en réponse au RGPD ont également pensé à faire ce qu’il fallait en mettant en place des mesures plus sévères que la formation à la sécurité des employés par clic et en remédiant à leurs technologies de sécurité peu exécutées. en plus, et non pas plutôt, de la cyber-assurance. Des violations d’informations ont lieu, et elles se réfèrent quand et pas si, mais dans la plupart des cas, elles pourraient être évitées.
Quelle que soit leur motivation, que ce soit par crainte de réclamations cumulatives ou d’amendes réglementaires, en prenant des mesures pour empêcher dommages, leurs actions peuvent jouer en faveur des clients et de la défense de leurs informations.
Cela dit, en examinant l’activité précédente de l’ICO et ses habitudes d’application, je suis enclin à comprendre pourquoi la sécurité les dirigeants sont plus préoccupés par les actions de ceux qui sont directement touchés – les sujets de l’information dont les données personnelles passent par leurs étapes de sécurité pas tout à fait étanches – et les militants de la défense de l’information qui ont une volonté encore plus grande de montrer qu’il y a plus d’organisations peut faire pour protéger les données individuelles. «
.
Toute l’actualité en temps réel, est sur L’Entrepreneur
